Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1] 2  Все   Вниз
  Печать  
Автор Тема: Linux Firewall  (Прочитано 36057 раз)
0 Пользователей и 1 Гость смотрят эту тему.
A.R.T.
Гость
« : 08-10-2009 13:59 » new

Здравствуйте.
Помогите, пожалуйста, настроить firewall в Centos 5.2 через Webmin.
Неясен принцип работы, я в Linux не очень, подхожу к настройкам как серверу  ISA, но не очень-то и получается.
Установлен Centos 5.2  с Asterisk, хочу опубликовать Asterisk наружу, но создать работающее правило не получается. Есть две сетевые eth0 и eth1. Первый смотрит внутрь, а второй наружу.
Из внутренней сети и Интернета к серверу можно подключиться, но я хочу разграничить правила, применяемые к картам eth0 и eth1.
Пробовал создать правила, чтоб снаружи пинг не проходил, без успешно.
Спасибо.

p.s.
в прикреплённом файле все роли, которые были и есть по умолчанию.

* INPUT_R.JPG (86.79 Кб - загружено 1111 раз.)
« Последнее редактирование: 09-10-2009 05:01 от Sel » Записан
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 08-10-2009 14:05 » 

а в обход  webmin?
man iptables

покажи вывод  в консоли
iptables -L
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #2 : 08-10-2009 14:52 » 

Лучше - "iptables -L -nvx" и результат в студию.

Какие порты и протоколы использует Asterisk известно?
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
A.R.T.
Гость
« Ответ #3 : 09-10-2009 04:23 » 

Всё что есть

Chain INPUT (policy ACCEPT 6 packets, 342 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 ACCEPT     icmp --  eth1   *       0.0.0.0/0            0.0.0.0/0           icmp type 0
      14     1884 DROP       all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
    8288  1256807 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
      84    11917 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x10/0x10
       1       40 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state ESTABLISHED
       3      246 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53 dpts:1024:65535
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 11
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 12
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113
       1       60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
       1       60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9001
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9080
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:4569
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:5000:5082
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:10000:20000
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4445
       2      120 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5038
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:69
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9022

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 LOG        all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'
       0        0 LOG        all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 7 prefix `BANDWIDTH_IN:'

Chain OUTPUT (policy ACCEPT 1745 packets, 517642 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 LOG        all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'


Asterisk использует

udp dpts:5000:5082
udp dpts:10000:20000
Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #4 : 09-10-2009 05:18 » 

A.R.T., в цепочке INPUT вторая строка - убери ее и добавь в конец. Правило то выполняются последовательно, а не параллельно.
Не плохо бы вставить в начало -i lo -j ACCEPT.

Надеюсь, в таблицах mangle и raw ничего нет?
« Последнее редактирование: 09-10-2009 05:22 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
A.R.T.
Гость
« Ответ #5 : 09-10-2009 06:17 » 

Это получается что правила которые есть сейчас будут отрабатывать только для  eth0
А для eth1 надо создать правила выше
Записан
A.R.T.
Гость
« Ответ #6 : 09-10-2009 06:34 » 

RXL, eth0 вставил самый конец, создал правила drop для пинга и вставил выше eth1, но результата нет, eth1 пингуется А черт его знает...
Вот ещё, попробовал запретить пинг на  eth0,  результата отрицательный, пинг проходит.
« Последнее редактирование: 09-10-2009 06:51 от Sla » Записан
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #7 : 09-10-2009 06:52 » 

A.R.T., покажи правило запрета пинга
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
A.R.T.
Гость
« Ответ #8 : 09-10-2009 06:58 » 

hain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0       0       
                   0 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
      79     5839 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x10/0x10
      20     2109 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state ESTABLISHED
       0        0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53 dpts:1024:65535
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 3
       0        0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 11
       0        0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 12
       1       48 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
       1       48 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9001
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9080
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:4569
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:5000:5082
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:10000:20000
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:4445
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5038
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123
       0        0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:69
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9022
      20     2840 ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 LOG        all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'
       0        0 LOG        all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 7 prefix `BANDWIDTH_IN:'

Chain OUTPUT (policy ACCEPT 135 packets, 58576 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 LOG        all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'
Записан
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #9 : 09-10-2009 07:18 » 

разберись с типами icmp
и покажи команду которой ты это правило создаешь, а не само правило
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
A.R.T.
Гость
« Ответ #10 : 09-10-2009 07:29 » 

Sla, все правила которые здесь есть, были по умолчанию
А правила создаю через webmin

* Rule.JPG (84.1 Кб - загружено 1115 раз.)
Записан
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #11 : 09-10-2009 07:32 » 

A.R.T., я не пользовался графическими утилитами и не могу сказать как это делается

ты попробуй создать правило из консоли.
Поверь, получишь колоссальное удовольствие. Потому что поймешь весь механизм работы firewall'а
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #12 : 09-10-2009 07:37 » 

я, к сожалению, не знаю где у тебя прописываются правила, но, возможно, в
/etc/rc.d/rc.firewall

покажи этот файл
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
A.R.T.
Гость
« Ответ #13 : 09-10-2009 08:25 » 

Sla , по пути /etc/rc.d  файл rc.firewall отсутствует

все что есть /etc/rc.d/init.d
                                 /rc0.d 
                                 /rc1.d
                                 /rc2.d
                                 до
                                 /rc6.d
                                 *rc
                                 *rc.local
                                 *rc.sysinit
Записан
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #14 : 09-10-2009 08:36 » 

я не гадалка, тем более Centoos под рукой не имею.
 /etc/sysconfig/iptables ?

man iptables
 и по идее, должно быть сказано, где лежат, или где должны лежать настройки.
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
A.R.T.
Гость
« Ответ #15 : 09-10-2009 10:31 » 

содержимое iptables

Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *nat
:PREROUTING ACCEPT [8:408] :POSTROUTING ACCEPT [2:129] :OUTPUT ACCEPT [2:129] COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *mangle
:PREROUTING ACCEPT [287:33378]
:INPUT ACCEPT [287:33378]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [288:38355]
:POSTROUTING ACCEPT [288:38355]
COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 «filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o ethl -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT:
-A FORWARD -i ethl -j LOG —log-level 7 —log-prefix BANDUIDTH_IN:
-A OUTPUT -o ethl -j LOG —log-level 7 —log-prefix BANDUIDTH_OUT:
# Accept responses to our pings
-A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP -A INPUT -i ethl -j ACCEPT
# Accept traffic raith the ACK flag set
-A INPUT -p tcp -m tcp —tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established -A INPUT -m state —state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections -A INPUT -m state —state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp —dport 1024:65535 —sport 53 -j ACCEPT
if  Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp —icmp-type destination-unreachable -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP
 # Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp —icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp —icmp-type time-exceeded -j ACCEPT
H  Accept notifications of protocol problems
-A INPUT -p icmp -m icmp —icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server
-A INPUT -p tcp -m tcp —dport ssh -j ACCEPT
# Allow connections to our IDENT server
-A INPUT -p tcp -m tcp —dport auth -j ACCEPT
#  Allow connections to our SSH server
-A INPUT -p tcp -m tcp —dport 80 -j ACCEPT
# Allow connections to our WEB server
Allow connections to our UEB server
-A INPUT -p tcp -m tcp —dport 443 -j ACCEPT
# Allow connections to our Secure Web server -A INPUT -p tcp -m tcp —dport 21 -j ACCEPT
# Allow connections to our FTP server
-A INPUT -p tcp -m tcp —dport 9001 -j ACCEPT
# Allow connections to our Uebmin server
-A INPUT -p tcp -m tcp —dport 9080 -j ACCEPT
# Allow connections to our Alternative web server -A INPUT -p udp -m udp —dport 4569 -j ACCEPT
# Allow connections to our IAX server
-A INPUT -p udp -m udp —dport 5000:5082 -j ACCEPT
# Allow connections to our SIP server
-A INPUT -p udp -m udp —dport 10000:20000 -j ACCEPT
# Allow connections to our SIP-RTP server
-A INPUT -p tcp -m tcp —dport 4445 -j ACCEPT
# Allow connections to our FOP server
-A INPUT -p tcp -m tcp —dport 5038 -j ACCEPT
# Allow connections to NTP time server
-A INPUT -p udp -m udp —dport 123 -j ACCEPT
# Allow connections to our Alternative Web server -A INPUT -p udp -m udp —dport 69  -j ACCEPT
# Allow connections to our Uebmin server
-A INPUT -p tcp -m tcp —dport 9022 -j ACCEPT
# Accept traffic from internal interfaces -A INPUT -i ethO -j ACCEPT
COMMIT
# Completed on Tue Jul 18 22:20:07 2006
Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #16 : 09-10-2009 15:22 » 

Sla, CentOS - 100% копия RH Enterprise Linux. Т.е. все как в RedHat и клонах: /etc/sysconfig/...

Код:
*nat
:PREROUTING ACCEPT [8:408]
:POSTROUTING ACCEPT [2:129]
:OUTPUT ACCEPT [2:129]
COMMIT

*mangle
:PREROUTING ACCEPT [287:33378]
:INPUT ACCEPT [287:33378]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [288:38355]
:POSTROUTING ACCEPT [288:38355]
COMMIT

*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT:
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp —icmp-type echo-reply -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport ssh -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport auth -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 9001 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 9080 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp —dport 5000:5082 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp —dport 10000:20000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 4445 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 5038 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp —dport 123 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 9022 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Путаница "ethl" и "eth1".
« Последнее редактирование: 12-10-2009 07:03 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
A.R.T.
Гость
« Ответ #17 : 12-10-2009 05:06 » 

Это просто опечатка  

Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *nat
:PREROUTING ACCEPT [8:408] :POSTROUTING ACCEPT [2:129] :OUTPUT ACCEPT [2:129] COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *mangle
:PREROUTING ACCEPT [287:33378]
:INPUT ACCEPT [287:33378]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [288:38355]
:POSTROUTING ACCEPT [288:38355]
COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 «filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth1 -j LOG —log-level 7 —log-prefix BANDUIDTH_IN:
-A OUTPUT -o eth1 -j LOG —log-level 7 —log-prefix BANDUIDTH_OUT:

# Accept responses to our pings     -A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP
# Accept traffic from internal interfaces     -A INPUT -i eth1 -j ACCEPT
# Accept traffic raith the ACK flag set      -A INPUT -p tcp -m tcp —tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established     -A INPUT -m state —state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections    -A INPUT -m state —state RELATED -j ACCEPT
# Accept responses to DNS queries     -A INPUT -p udp -m udp —dport 1024:65535 —sport 53 -j ACCEPT
# Accept notifications of unreachable hosts     -A INPUT -p icmp -m icmp —icmp-type destination-unreachable -j ACCEPT
# Accept responses to our pings     -A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP
# Accept notifications to reduce sending speed     -A INPUT -p icmp -m icmp —icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets     -A INPUT -p icmp -m icmp —icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems     -A INPUT -p icmp -m icmp —icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server     -A INPUT -p tcp -m tcp —dport ssh -j ACCEPT
# Allow connections to our IDENT server     -A INPUT -p tcp -m tcp —dport auth -j ACCEPT
# Allow connections to our SSH server     -A INPUT -p tcp -m tcp —dport 80 -j ACCEPT
# Allow connections to our WEB server  Allow connections to our UEB server     -A INPUT -p tcp -m tcp —dport 443 -j ACCEPT  
# Allow connections to our Secure Web server    -A INPUT -p tcp -m tcp —dport 21 -j ACCEPT
# Allow connections to our FTP server        -A INPUT -p tcp -m tcp —dport 9001 -j ACCEPT
# Allow connections to our Uebmin server     -A INPUT -p tcp -m tcp —dport 9080 -j ACCEPT
# Allow connections to our Alternative web server  -A INPUT -p udp -m udp —dport 4569 -j ACCEPT
# Allow connections to our IAX server        -A INPUT -p udp -m udp —dport 5000:5082 -j ACCEPT
# Allow connections to our SIP server       -A INPUT -p udp -m udp —dport 10000:20000 -j ACCEPT
# Allow connections to our SIP-RTP server    -A INPUT -p tcp -m tcp —dport 4445 -j ACCEPT
# Allow connections to our FOP server     -A INPUT -p tcp -m tcp —dport 5038 -j ACCEPT
# Allow connections to NTP time server     -A INPUT -p udp -m udp —dport 123 -j ACCEPT
# Allow connections to our Alternative Web server -A INPUT -p udp -m udp —dport 69  -j ACCEPT
# Allow connections to our Uebmin server     -A INPUT -p tcp -m tcp —dport 9022 -j ACCEPT
# Accept traffic from internal interfaces       -A INPUT -i eth0 -j ACCEPT COMMIT
« Последнее редактирование: 12-10-2009 06:30 от A.R.T. » Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #18 : 12-10-2009 06:04 » 

A.R.T., я тебя уже не понимаю - файрвол надо настроить или что?
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
A.R.T.
Гость
« Ответ #19 : 12-10-2009 06:43 » 

RXL ,  Это сервер ip Телефонии на Asteriske . Мне надо настроить Фаервол так чтоб через  eth 1 могли подключаться снаружи только SIP телефоны , чтоб этот сервер был максимально закрыт и безопасен.
Проблема в том что когда создаю правила, они не работают, может я не правильно понимаю принцип работы Linuxa  к примеру создал правила для запрета пинга  выше eth1 но пинги проходят. А черт его знает...
« Последнее редактирование: 12-10-2009 06:48 от A.R.T. » Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #20 : 12-10-2009 06:52 » 

Посмотри мой вариант выше.
https://forum.shelek.ru/index.php/topic,22046.msg216230.html#msg216230

Ты его пробовал?
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
A.R.T.
Гость
« Ответ #21 : 12-10-2009 06:57 » 


Сейчас попробую
Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #22 : 12-10-2009 07:00 » 

Помести это в конфиг и выполни service iptables restart.

Покажи: cat /etc/sysconfig/iptables-config
Только оборачивай текст тегами [code] [/code]
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
A.R.T.
Гость
« Ответ #23 : 12-10-2009 08:42 » 

Содержимое:  /sysconfig/iptables-config

Код:
#  Load additional iptables modules (nat helpers}
#       Default: -none-
#  Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
#  are loaded after the firewall rules are applied. Options for the helpers are
#  stored in /etc/modprobe.conf.
IP TABLES MODULES ="ip_cоnntrack_netbiоs_ns"

#  Unload modules on restart and stop
#       Value: yes| no,  default: yes
#  This option has to be 'yes' to get to a sane state for a firewall
#  restart or stop. Only set to 'no' if there are problems unloading netfilter
#  modules.
IPTABLES_MODULES_UNLOAD="yes"

#  Save current firewall rules on stop.
#       Value: yes| no,  default: no
#  Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
#   (e.g. on system shutdown) .
IPTABLES_SAVE_O [M S-N_STOP="no"

# Save current firewall rules on restart.
#       Value: yes| no,  default: no
# Save (and restore) rule and chain counter.
#       Value: yes| no,  default: no
#  Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save1 is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IP TABLES_SAVE_COUNTER="no"


#  Numeric status output
#       Value: yes| no,  default: yes
#  Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIС="уеs"

#  Verbose status output
#       Value: yes| no,  default: yes
#  Print info about the number of packets and bytes plus the "input-" and
#   "outputdevice" in the status output.
IP TABLES_STATUS_VERBOSE ="no"

#  Status output with numbered lines
#       Value: yes| no,  default: yes
#  Print a counter/number for every rule in the status output.
IP TABLES_STATUS_LINENUHBERS="yes"


Попробовал вот этот вариант https://forum.shelek.ru/index.php/topic,22046.msg216230.html#msg216230 результата нет
Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #24 : 12-10-2009 08:46 » 

Слушай, это безобразие какое-то: у тебя терминал на правильную кодировку настроен? Так работать не возможно... Постоянные сбои какие-то и мусор в тексте.
Часом не Hypertermnal используешь? Выбрось эту дрянь! Качай putty - он фриварный.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
A.R.T.
Гость
« Ответ #25 : 12-10-2009 09:15 » 

Использую Putty, но файли редактирую черес mc  Улыбаюсь

А в Putty можно как-то посмотрет содержимое файла ?  прим. etc/sysconfig/iptables-config
« Последнее редактирование: 12-10-2009 09:42 от A.R.T. » Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #26 : 12-10-2009 11:30 » 

Аналогично: использую туже ОС, тот же терминал и тот же редактор.


cat /etc/sysconfig/iptables-config

Рекомендую сперва:
1. В mc переключиться на консоль.
2. Нажать Enter несколько раз, чтобы отличить вывод команды от мусора.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
A.R.T.
Гость
« Ответ #27 : 12-10-2009 11:54 » 

Вот что есть

Код:
# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="ip_conntrack_netbios_ns"

# Unload modules on restart and stop
#   Value: yes|no,  default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"

# Save current firewall rules on stop.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"

# Save current firewall rules on restart.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"

# Save (and restore) rule and chain counter.
#   Value: yes|no,  default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"

# Numeric status output
#   Value: yes|no,  default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"

# Verbose status output
#   Value: yes|no,  default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"

# Status output with numbered lines
#   Value: yes|no,  default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"

Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #28 : 12-10-2009 12:32 » 

Если samba пользоваться не будешь, то замени
IPTABLES_MODULES="ip_conntrack_netbios_ns"
на
IPTABLES_MODULES=""



Посмотри мой вариант выше.
https://forum.shelek.ru/index.php/topic,22046.msg216230.html#msg216230

Ты его пробовал?

Пробовал? Расскажи свои действия.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
A.R.T.
Гость
« Ответ #29 : 13-10-2009 04:22 » 

1.  IPTABLES_MODULES="" поменял

2. Скопировал код в текстовый редактор, сохранил под именем iptables, скопировал на сервак, отредактировал и переписал файл iptables на серваке.

Но при рестарте сервиса ругается:
Flushing firewall rules: [  OK  ]
Setting chains to policy ACCEPT: filter mangle nat [  OK  ]
Unloading iptables modules: [  OK  ]
Applying iptables firewall rules: Error occurred at line: 19
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
Bad argument `.log-level'
[FAILED]
Записан
Страниц: [1] 2  Все   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines